أقوى أدوات الهندسة الاجتماعية عليك معرفتها

تعتبر الهندسة الإجتماعية من بين أقوى طرق الإختراق وأقواها أيضا، فهي لا تعتمد على اختراق جهاز أو حاسوب أو هاتف، بل اختراق العقل البشري، والسيطرة عليه. وصدق أو لا تصدق، حتى هذه المهمة تتطلب مجموعة من أدوات الهندسة الاجتماعية التي تساعدك في إتمام هذه المهمة. 

مرحبا بك في أكوا ويب إذن، ومقال جديد يشرح لك أولا الهندسة الإجتماعية وكيف تعمل، ثم يستعرض عليك حزمة أقوى وأفضل أدوات الهندسة الاجتماعية التي يجب عليك تنصيبها واستخدامها من أجل البلوغ لهدفك ( وهو اختراق العقل البشري) مع شرح بسيط لكل أداة على حدة، ومتى وكيف تستخدمها. 

أولا، ما هي الهندسة الإجتماعية؟ 

لدينا مقال يضع بين يديك كل شيئ عن الهندسة الإجتماعية قد تود الإطلاع عليه أولا، وإن لم يكن لديك الوقت لذلك، فلا بأس سنعيد شرحها بطريقة أبسط في هذه الفقرة. 

الهندسة الإجتماعية (Social Engineering) او كما يفضل الكثيرون استخدام مصطلح اختراق العقول، هي عبارة عن مجموعة من التقنيات التي تقوم بممارستها على شخص محدد، فتتيح لك تجميع الكثير من المعلومات والبيانات حول الهدف من خلال كسب ثقته والتلاعب به، تلك المعلومات أو البيانات التي تقوم بتجميعها، يمكنك تصنيفها لاحقا والحصول على معلومات سرية من خلالها، ككلمة سر منصات التواصل الإجتماعي مثلا. 

كمثال لذلك، نقوم بتحديد هدف محدد ولنقل زميل لك في العمل، تقوم بمحادثته ( بحسابك الخاص أو حساب آخر ) وتحاول كسب ثقته، التقرب منه، فيخبرك بمعلومات بسيطة كتاريخ ميلاده، أو كم يملك في البنك، أو مكان ازدياده، أو صديق الطفولة لديه، يمكنك لاحقا مثلا الولوج لأحد حساباته الخاصة وطلب نسيان كلمة السر، قد يخبرك في سؤال استرجاع الحساب: اذكر لنا إسم صديق الطفولة، وبما أنه لديك هذه المعلومة من قبل فاعتبره تم اختراقه ! 

إذن بعد معرفتك بالهدف خلف الهندسة الإجتماعية، دعونا الآن نستعرض عليكم أبرز أدوات الهندسة الإجتماعية. 

أداة Social Engineer Toolkit (SET) 

أداة SET او اختصاراً لـ Social Engineer ToolKit هي أداة  تأتي بسطر أوامر كونسول بدل واجهة GUI، وهي تأتي بتقنيات وخصائص كثيرة تساعدك في تجربة الهندسة الإجتماعية على مختلف المستويات، إذ تأتي بأدوات لصناعة صفحات مزورة أو Phishing لمواقع شهيرة كفيسبوك، تويتر، جيمايل، وغيرهم. كما تأتي بإمكانية صناعة كود QR أثناء فحصه من طرف المستخدم تحصل على معلومات حوله، تأتي أيضا بتقنيات مختلفة للإختراق كإرسال بريد SMS بتقنيات الـ Scaming، ومجموعة من الهجمات المختلفة التي تهدف لتعطيل خدمات خاصة للمستخدم. الأداة منفصلة ومفتوحة المصدر، ويمكن تنصيبها على أنظمة اللينكس بكل سهولة، كما أنها تأتي مجهزة في أنظمة أخرى مثل الكالي لينكس. هذه دورة بسيطة من Tutorialspoint يشرح لك هذه الأداة وكيف تستخدمها من هنا .

أداة Maltego 

تعتبر أداة Maltego من أقوى الأدوات الخاصة بتجميع وتنظيم المعلومات، حين تتعامل مع الهندسة الإجتماعية فإن المعلومات والبيانات هي الخط الفاصيل بينك وبين اختراق عقل الضحية التي تستهدفها. في Maltego سيمكنك صناعة مخططات متعددة مترابطة لكل المعلومات التي تجمعها (Linked Analysis)، من خلالها ستُبقي كل المعلومات التي جمعتها نُصب عينيك أولا، ثم يمكنك استنتاج أو استخراج معلومات أخرى بالإعتماد عليها. 

يمكنك إضافة أي نوع من المعلومات في Maltego، سواء كانت معلومات خاصة بأجهزة الضحية كعناوين الـ IP ومعلومات الإتصال، أو روابط حساباته، أو معلوماته الشخصية، ويمكنك ربطها مع بعضها البعض والتخطيط والإستنتاج بناءً على كل تلك المعلومات. 

أداة Metasploit MSF

يعتبرإطار Metasploit أحد أضخم الإطارات الخاصة بالإختراق والذي يضم عدد هائل من الأدوات الثانوية داخله، ومن بينها أداة MSF التي يمكن استغلالها في مجال الهندسة الإجتماعية. الـ MSF تأتي بأنواع مختلفة أولا أبرزها الـ MSF Venom Payload Creator، وهي أداة تُمكنك من خلالها من صناعة برامج أو تطبيقات بسيطة يمكن إرسالها للمستخدم من أجل كشف ثغرات في جهازه أو التحكم به، كما يمكن من خلالها صناعة صفحات مزورة أو محاكاة صفحات ويب مختلفة بهدف خداع المستخدم في الأخير لإدخال معلوماته الشخصية أو كلمات السر، والتوصل بها في أداة الـ MSF. الأداة موجودة في الـ Metsaploit فسواء كنت تستخدم نظام يضم هذه الأداة، أو قمت بتحميلها بشكل منفصل، ففي جميع الأحوال سيمكنك الوصول لها من خلال سطر الأوامر. 

أداة WifiPhisher 

لا بد انك استخدمتها أكثر من مرة، حتى أنه لدينا مقال كامل يشرح لك كل شيئ عن أداة WifiPhisher . إذن أداة WifiPhisher هي عبارة عن أداة تسمح لك بصناعة صفحات Phishing لكن هذه المرة مخصصة لشبكات الواي فاي، بحيث من خلالها سيمكنك أولا تعيين شبكة الواي فاي المستهدفة، ثم نسخ كل خصائصها وبث شبكة واي فاي شبيهة بها، الفرق الوحيد بين الشبكتين سيكون أنه عند محاولة شخص ما الإتصال من تلك الشبكة، فإن صفحة ستنبثق تخبره بتأكيد كلمة سر شبكة الواي فاي، بعدها ستستطيع بدورك الحصول على كلمة السر الخاصة بالشبكة. لكن هذه العملية لن تنجح من تلقاء نفسها دائما، لا بد من تطبيق بعض خصائص الهندسة الإجتماعية أثناء ممارسة فن اختراق شبكات الواي فاي باستخدام أداة Wifiphisher. 

أداة BlackEye 

أداة Blackeye هي أداة مفتوحة المصدر ( موجودة على Github للتنصيب وإدماجها بشكل منفصل)، كما أنها تأتي في مجموعة من أنظمة الإختراق المتعددة مثل Blackarch.

تتيح لك هذه الأداة إمكانية صناعة صحفات Phishing متخصصة وشبيهة بالمواقع الأصلية التي تحاول صناعة نسخة منها، الأداة سهلة الإستخدام ولا تحتاج إلى أي مهارة أو سطر أوامر من اجل التعامل معها، يكفي اولا تحميل الأداة وتشغيلها ( إن كنت تستخدم نظاما يدعمها من قبل فيكفي تشغيلها ) ثم ستظهر لك واجهة الأداة التي تقترح عليك الإختيار من بين العشرات من مواقع التواصل الإجتماعي أو مواقع شهيرة عامة، مثل فيسبوك، انستغرام، تويتر، جوجل، بايبال، ووردبريس، تويتش وغيرهم، ثم استكمال الخطوات، لتحصل في الأخير على رابط عبارة عن IP Adress يمكنك إرساله للضحية، وفي حالة قام بإدخال أي معلومات في الرابط، ستحصل على نفس تلك المعلومات في الأداة. 

أداة Buster 

أداة Buster هي أداة مفتوحة المصدر متوافرة لنظام اللينكس بشكل خاص، ويمكن تحميلها بشكل منفصل، وتأتي في بعض التوزيعات مدمجة في الأل. تتيح لك أداة Buster إمكانية التحقق من منصات التواصل الإجتماعي والمواقع الخاصة ببريد إلكتروني معين، فأنت أثناء ممارستك لعمليات الهندسة الإجتماعية، يجب عليك أن تكون ملماً بكل المعلومات الخاصة بالهدف الذي تستهدفه. أداة Buster تتيح لك إدراج بريد إلكتروني معين ( للهدف ) ثم استخراج كل المواقع والمنصات التي تسجل فيها هذا المستخدم بنفس البريد الإلكتروني، حتى استخراج المواقع أو عناوين الـ DNS التي تم حجزها ( أشبه بـ WHOIS )، واستخراج معطيات أخرى كثيرة حول البريد الإلكتروني. 

أداة Catphish 

أداة أخرى مفتوحة المصدر من أدوات الهندسة الإجتماعية المتطورة، بالرغم من سهولة فكرة الأداة إلا أنها مفيدة جدا في مجال الهندسة الإجتماعية بشكل عام. استخدامك للأدوات السابقة مثلا SET من أجل تجسيد صفحة مزورة لموقع ما ستكون نتيجته في الأخير عبارة عن رابط IP Adress ( مثلا رابط الصفحة سيكون 190.102.6.1 )، وهو امر واضح فعند إرساله للضحية يبدو الأمر واضحا بشكل كبير أنه رابط اختراق. 

يأتي Catphish لحل هذه المشكلة بطريقة مختلفة كثيراً، الأداة تسمح لك بالبحث عن النطاقات الرخيصة القريبة للموقع الذي تريد استهدافه، بافتراض أنك قمت بصناعة صفحة مزورة لـ LinkedIn، تقوم بالبحث في أداة Catphish عن أسماء نطاقات متاحة قريبة للـ Linked In. 

ستقوم الأداة باستعراض النتائج القريبة للموقع، وذكر ما إذا كان النطاق متاحا لتقوم بالحصول عليه، ثم ربطه مع رابط الصفحة المزورة، وبذلك تكون نسبة التشكيك في رابط الصفحات المزورة أقل، وسيبدو الرابط أيضا أكثر مصداقية. 

أداة CredSniper 

أداة أخرى من أدوات الهندسة الإجتماعية تنضم إلى القائمة، وهي أداة CredSniper. توفر لك هذه الأداة إمكانية صناعة صفحات ويب شبيهة بشكل كبير بالصفحات الأصلية للموقع المقصود، فمن خلالها يمكنك صناعة صفحة ويب لخدمات مثل Gmail, Facebook, Twitter، وغيرهم. 

الجميل في هذه الأداة والتي يزيدها قوة، أنها أولا تدعم تشفير SSL، أي فتح الرابط في متصفح ويب مثل جوجل كروم سيكون أمر سهل جدا ولن يظهر إشعار ان هذه الصفحة غير محمية، كما أنه يدعم خاصية تأكيد الحساب عبر تقنية المصادقة الثنائية 2FA، بمعنى أنه حتى لو طلب الموقع من المستخدم إدخال كود سيتوصل به في هاتفه الذكي أو بريده، فإن الأداة تدعم استقبالها أيضا. الأداة مفتوحة المصدر، وموجودة على منصة Github. 

أداة Email2Phonenumber 

أداة أخرى مجانية ومفتوحة المصدر مبنية على لغة البرمجة بايثون، هي أداة تستطيع من خلالها استخراج رقم الهاتف الخاص بالهدف انطلاقا من البريد الإلكتروني. معظم المنصات والمواقع تُبرز البريد الإلكتروني الخاص بالمستخدمين، لذا إمكانية الحصول على البريد الإلكتروني قد يكون نسبيا سهل، لكن الحصول على رقم الهاتف قد يكون صعب، وفي نفس الوقت مهم، فربما تريد تجربة الـ SMS Phishing، أو إرسال رسائل لإقناع المستخدم بالوثوق فيك أكثر. 

أداة Email2Phonenumber تعمل على مستويات مختلفة، أولا تقوم بالبحث عن رقم الهاتف انطلاقا من الإيميل في مواقع أخرى قد تكون مسجل فيها بنفس البريد ووضعت رقم هاتفك، مثل تويتر أو فيسبوك، إن لم تجد فإنها تقوم بعملية الـ Brute Force لتقنية الـ 2FA، أي مثلا تحاول جعل موقع يقوم بإرسال كود تفعيل لرقم الهاتف لمستخدم مرتبط بالإيميل، وفي حالة الحصول على إجابة يتم تخزين الرقم، وأخيراً في حالة لم تكن محظوظاً تقوم فقط باستخراج رقم عشوائي انطلاقا من مجموعة من البيانات الأخرى ( في الغالب لا يكون صحيح أو فعال. 

أداة Evilginx 

من أجل معرفة دور أداة Evilginx علينا أولا معرفة ما هو الـ Man In The Middle وتقنيتها. الـ MITM ( اختصار للتقنية السابقة ) هي حين تقوم بالتعرض للـ Packets والمعلومات التي يتم إرسالها واستقبالها وسط الشبكة. إرسال واستقبال معلومات بين الشبكة في الغالب يتم عبر : حاسوبك ثم إلى الراوتر، ثم إلى الشبكة. لكن بإضافة جهاز أو برمجية MITM يصبح: حاسوبك، ثم أداة MITM بعدها الراوتر ثم الشبكة. يعني كخلاصة المعلومات التي يتم تداولها بينك وبين الشبكة يستطيع طرف آخر بتقنية MITM التجسس عليها. 

أداة Evilginx تقوم بهذا العمل من أجلك، بعد الإتصال من الشبكة يمكنك تشغيل الأداة وتحديد الهدف، وملأ الإعدادات المطلوبة، ثم بعدها سيمكنك التوصل بالمعلومات التي يتم إرسالها في الشبكة باستخدام تقنية الـ MITM، يمكن للأداة أيضا استخدام تقنية معينة لسرقة الـ Cookies الخاصة بالهدف، وكشف المعلومات التي يضمها هذا الأخير. 

وختاماً

يوجد المئات من الأدوات الأخرى أيضا المتخصصة في مجال الهندسة الإجتماعية، ونعدكم بالجزء الثاني الذي سيستعرض مجموعة أدوات أخرى في نفس هذا المجال قريبا.